La pregunta que encabeza este artículo es importante. Importante porque se lanza directamente contra la confianza que un cliente tiene en sus decisiones sobre seguridad, y muchas veces, para estar realmente seguro es necesario aplicar el método científico y cuestionarse si realmente los controles funcionan como deben, independientemente del dinero invertido en ellos. Una parte de mi trabajo es repetir esta pregunta a muchos clientes potenciales y encontrarme con respuestas, cuanto menos, sorprendentes.
En otros artículos hemos dejado claro que el mismo canal que habilita las aplicaciones para su uso en un entorno como la web también habilita a los atacantes para “hacer de las suyas” y buscar puntos débiles en las aplicaciones. Por eso decimos que las protecciones perimetrales no son efectivas contra los ataques a aplicaciones.
- He adquirido un appliance maravilloso que frena todos los ataques a aplicaciones sin necesidad de hacer pruebas de seguridad.
- Entonces ¿Se cree Vd. lo que le cuenta el fabricante del dispositivo sin dudar?
- No he dicho eso, sólo que mi appliance protege mis aplicaciones.
- Por supuesto. Y… ¿ha introducido ya todas las reglas?
- ¡Claro que sí! Venían de fábrica.
- Pero,… sabrá Vd. que cada día aparecen vulnerabilidades nuevas. ¿No cree que, a priori, esto aumenta la exposición de sus aplicaciones? ¿Cómo las actualiza?
- …
Esta conversación podría ser una de muchas en una acción comercial, y deja claro que el interpelado fía toda su seguridad a un appliance que ha adquirido recientemente y a las maravillas que, se supone, hace.
Como dijo Bruce Schneier, “Quien confía la resolución de sus problemas únicamente a una solución tecnológica no entiende la tecnología y no entiende el problema”.
Las aplicaciones constituyen en la actualidad una parte fundamental de cualquier negocio, pues por una parte están en contacto permanente con los clientes y por otra se encargan de acceder y gestionar los datos que sirven para el funcionamiento del negocio. Es necesario tener en cuenta que el entorno de las aplicaciones es cambiante y la seguridad de los entornos necesita ser revisada periódicamente para evitar sorpresas desagradables.
La respuesta a la pregunta no es otra que hacer pruebas de seguridad sobre las aplicaciones y conocer de primera mano los resultados de las mismas. Luego, con los resultados de estas pruebas, han de aplicarse reglas para actualizar los controles, ese appliance que nos ha salido tan caro no es eficaz si no sabe ante qué debe protegerse.
SOGETI realiza análisis de seguridad sobre las aplicaciones y proporciona las reglas necesarias para incorporar a los controles de seguridad del negocio con la mayor eficacia y de la manera más eficiente.
Tu centro de expertise en España sobre Quality Engineering y Testing 
Pingback: El lugar que ocupa el Application Security Testing dentro de la seguridad del negocio | QA:news